Es ist schrecklich. Wenngleich die Erbsenzähler ohne jeden Zweifel den wirtschaftlichen Erfolg einer Unternehmung zu einem großen Teil (mit-)bestimmen, so sind sie dennoch unter dem Blickwinkel der Implementierung von technischen und organisatorischen Maßnahmen des IT-Risikomanagements so willkommen wie die spanische Grippe: Geht es nämlich um die Frage der betriebswirtschaftlichen Sinnhaftigkeit von Investitionen in IT-Sicherheitsmaßnahmen, versuchen besagte Erbsenzähler krampfhaft, eine analytische Kosten-Nutzen-Betrachtung für die jeweilige Maßnahme durchzuführen. Funktioniert selbstredend nicht. Unbestritten - es existieren jede Menge Berechnungsmodelle für die Amortisation von Invests in IT-Sicherheit. Allerdings setzen solche Modelle wie “Annual Loss Expenditure” (ALE) oder “Return on Security Investment” (ROSI) eben vorraus, dass sich dem Betrachter das komplexe Zusammenwirken der verschiedenartigen Aspekte der IT-Governance vollumfänglich erschließt. In der Regel ist das Management allerdings nicht einmal in der Lage, den Schutzbedarf der Unternehmung konkret zu beziffern. Gleiches gilt für die Analyse der verschiedenartigen Bedrohungen und der Verwundbarkeit der unternehmensbezogenen IT-Strukturen.

Stellt das Management mehr oder minder genervt fest, dass die Gewährleistung der IT-Sicherheit in Hinsicht auf deren finanzielle Planbarkeit ein schwarzes Loch ist, in dem Gelder regelmäßig verschwinden ohne dass sich augenscheinlich in irgend einer Art und Weise ein greifbarer Gegenwert manifestiert, versucht man dem Problem mit heuristischen bzw. empirischen Verfahren zu Leibe zu rücken. Allerdings sind auch hier keine handgreiflichen Erkenntnisse bzgl. des optimalen Mitteleinsatzes zu erwarten: IT-Sicherheitsmaßnahmen sind regelmäßig nur dann nützlich gewesen, wenn nichts passierte. Das bedeutet wiederum, dass man den Nutzen von Invests in die IT-Sicherheit idealiter weder sehen noch spüren kann. Ist dies jedoch der Fall, haben Sicherheitsverantwortliche regelmäßig ein Vermittlungsproblem hinsichtlich der veranschlagten Kosten. Nun beginnt eine FUD-Strategie: Mittels Angst (Fear), Unwissenheit (Uncertainty) und Zweifeln (Doubt) wird das notwendige Budget für die Gewährleistung von IT-Sicherheit aus dem Unternehmensetat generiert. Stellte der jeweilige IT-Verantwortliche einen größeren Finanzbedarf fest, werden gegenüber dem Management kleiner “Störfälle” zu Fast-Katastrophen hochstilisiert. Zwischenzeitlich hat sich diese Vorgehensweise jedoch auch in den Managementetagen herum gesprochen, so dass diese regelmäßig nur noch in KMU’s zum Erfolg führt.

Der letzte Rettungsanker in dieser vertrackten Situation ist sodann die pragmatische Herangehensweise: Man stützt sich auf verschiedenartige “Best Practices"-Ansätze, welche i.F. von ISO-Standards, dem BSI-Grundschutzhandbuch oder sonstiger IT-Sicherheitsframeworks das Licht der Welt erblickten. Das Problematische hieran: Best Practices widerspiegeln regelmäßig nur Mainstream-Ansätze. Ob ein bestimmtes Invest im konkreten Fall tatsächlich sinnhaft ist, läßt sich hiernach kaum beurteilen. Außerdem erscheint es gerade unter dem Blickwinkel der Gewährleistung von IT-Sicherheit häufig sogar sinnhaft, nicht dem Mainstream zu folgen, sondern auch mal gegen den Strom zu schwimmen, um zum Beispiel gefährdende Homogenität in den Strukturen zu vermeiden.

Letztlich sind die vorbenannten Probleme jedoch “hausgemacht”: Eine sehr genaue Bezifferung des Finanzbedarfs für IT-Sicherheitsmaßnahmen wäre dann möglich, wenn neben den vorbenannten qualitativen Ansätzen eben auch solche quantitativer Art existieren würden. Allerdings ist die Veröffentlichung von Security Incidents und deren finanzieller Folgen derzeit immer noch die Ausnahme - die Mehrzahl der Unternehmen sitzt das jeweilige IT-Sicherheitsproblem lieber fernab der Öffentlichkeit aus.